L’attaque par déni de service BlackNurse permet de surcharger les pare-feu avec un simple ordinateur et une bonne liaison Internet.
Pour faire tomber des sites avec une attaque de type « Déni de service » (DDoS), plus besoin d’utiliser un grand nombre d’ordinateurs ou de louer les services d'un botnet, un seul PC peut suffire !
Les chercheurs danois de TDC ont révélé une nouvelle technique d’attaque qu’ils ont baptisés BlackNurse. Sa particularité est qu’elle ne nécessite qu’un seul ordinateur et une liaison internet de bonne qualité (au moins 15 à 18 Mbit/s). En comparaison, les dernières attaques DDoS contre le les fournisseurs Dyn et OVH ont nécessité des débits de l’ordre de 1 Tbit/s.
Comment arrive-t-elle à être aussi efficace en nécessitant si peu de puissance de feu ? Au lieu d’envoyer une grande quantité de trafic sur les serveurs, BlackNurse envoie des paquets de données spécifiques (Internet Control Message Protocol) qui sont utilisés par les appareils réseau pour la transmission de messages d’erreur. Ces paquets vont surcharger les processeurs des pare-feu conçus par des constructeurs connus tels que Cisco ou Palo Alto Networks.
En conséquence, ces appareils passent leur temps à traiter ce type de paquets et ne laissent plus passer le trafic vers les serveurs placés derrière le pare-feu. Notons que ce n’est pas la première fois que des attaques liées au protocole Internet Control Message Protocol ont lieu, mais elles concernaient d’autres types de paquets.
Les chercheurs de TDC ont publié sur leur site un article qui explique comment tester si un pare-feu est vulnérable à l’attaque BlackNurse et surtout, comment établir une règle qui alerte l’administrateur si une attaque est en cours.
Ils recommandent de bloquer le traitement de ce type de paquets au niveau du pare-feu, ce qui peut être réalisé plutôt simplement. Reste aux responsables réseau à bien configurer leurs appareils.